Als ict-beheerder 50.000 euro moeten betalen omdat je klant door ransomware werd getroffen, terwijl de netwerkbeveiliging eigenlijk bij een derde lag. Ja, dat kan: zorg dus dat je je documentatie goed op orde hebt, want dat is waar de zaak eigenlijk op mis ging voor de beheerder.
Dat vonnis gaat vooral in over verrekenen van de schadeclaim met openstaande facturen. Het echte verhaal lezen we in het tussenvonnis uit 2022 (nu pas gepubliceerd) waarin de rechter concludeerde dat de beheerder aansprakelijk was. Haar primaire taak was netwerkbeheer en onderhoud, maar ook een stukje security:
A) Aangaande security dienen minimaal door Opdrachtgever de volgende maatregelen te zijn getroffen:
? Deugdelijke antivirusbeveiliging;
? Firewall.
B) Uitvoerder zal de deugdelijkheid van de security [maandelijks] beoordelen en haar bevindingen aan Opdrachtgever mededelen.
C) Indien de security door Uitvoerder als niet deugdelijk wordt beschouwd, dan is Uitvoerder niet aansprakelijk voor enige schade die als gevolg van de niet deugdelijke security is ontstaan of in de toekomst kan ontstaan.
D) Uitvoerder kan op verzoek/aanvraag van Opdrachtgever zorgdragen voor een deugdelijke security. Deze aanvraag/opdracht zal worden behandeld als zijnde meerwerk als in art. 8 van deze overeenkomst.
Op enig moment werd de klant (opdrachtgever) getroffen door ransomware. Onduidelijk was hoe dat precies was gebeurd, maar de rechter is daar snel klaar mee:
Hoe de hackers het netwerk van [de klant] zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van [de klant] versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van [de klant] enige tijd belemmerd is geweest doordat [de klant] niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.
Het niet hebben van die drie dingen is iets waar de beheerpartij op had moeten screenen en waarschuwen. (Dit is niet zodanig subtiel dat je dat normaal mist.) Advies en waarschuwingen hierover ontbraken echter in het dossier.
Weliswaar was er een plan voor herziening van het netwerk, maar dat is niet echt hetzelfde als een waarschuwing:
Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat [de leverancier] de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan [de klant] heeft meegedeeld.
Bij enkele andere problemen was wél duidelijk gewaarschuwd: “Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.” Dat betrof een oude server die allang niet meer actief had moeten zijn. Er is een reële kans dat de criminelen via deze server zijn binnengedrongen, maar zoals gezegd maakt dat niet uit – de beveiliging elders had ze dan moeten stoppen.
Het lijkt er dus op dat de beheerder er op zich prima over nagedacht had, maar niet consequent handelde zoals ze had toegezegd. Ook schoten er dingen te kort in de uitvoering, bijvoorbeeld hetzelfde wachtwoord voor de backupserver als voor de gewone beheerserver. Maar uiteindelijk komt het neer op dit soort dingen:
[De leverancier] verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “Wachtwoordbeleid nakijken Done, geen eenduidig beleid”
Daaruit blijkt niet dat [de leverancier] [de klant] heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen.
Ik blijf het zeggen: je zorgplicht als ict-dienstverlener wordt ingevuld door je documentatie. Wat heb je toegezegd, wat heb je uitgesloten en wat heb je aangegeven in de uitvoering? Dat leg je dus vast, van mails met signaleringen tot bevestigingen van telefonische (of mondelinge) opmerkingen.
Arnoud
